※サーバーのIPアドレス・契約者情報・ログの生データは当サイトでは公開しません。 法的手続きを通じて得られた事実の要約のみ記載しています。

なぜORIGINサーバーなのか

被害者が操作していた「取引画面」は、見た目は本物の取引所に似せてある。 だが画面上の数字は、どこかのサーバーが返しているただのデータだ( 第3回)。

ドメインの前段にはCDN(配信ネットワーク)がかかっていることが多く、 表向きのIPだけでは誰がホストしているかは分からない。 そこで調査の焦点を、実際にアプリやAPIを動かしているORIGINサーバー—— いわゆる「裏側の実体」——に移した。

調査ノート

ORIGINを特定できれば、ホスティング会社・サーバー事業者に対して、利用者情報・ログ・アクセス記録の開示請求が可能になる。

対象となった取引所(8件)

被害者情報で確認された名称・ドメインを起点に、インフラ調査を実施した。 一覧は取引所一覧ページに整理済みだ。

  • Cyber Exchange(サイバーエクスチェンジ)
  • FIGHT MARKET(ファイトマーケット)
  • GOLDEN CROSS(ゴールデンクロス)
  • DreamSwap(ドリームスワップ)
  • Hyper Core(ハイパーコア)
  • Inter Exchange(インターエクスチェンジ)
  • Alpha Trade(アルファトレード)
  • Just Market(ジャストマーケット)

名称が違っても、同じ系統のシステムが使い回されている可能性があった。 ORIGINの照合は、その仮説を検証するための第一歩でもある。

ORIGINサーバーの特定——手順の概要

当サイトでは技術的な詳細(IP・ホスト名の一覧)は公開しないが、調査の流れは次のとおりだ。

  1. 各ドメインのDNS・証明書・HTTP応答を調査し、CDNの背後を特定
  2. ORIGIN(実体サーバー)のホスティング事業者を突き止める
  3. 複数取引所間で同一インフラ・同一事業者が使われていないか照合
  4. 開示請求の宛先となるサーバー会社を確定
所見: 確認された各種取引所について、ORIGINサーバーの特定に成功した。 チャット側の開示(第8〜9回)に続き、システム側のインフラにも法的手続きの糸口ができた。

サーバー会社へ——開示請求を送付

ORIGINの特定が終わった段階で、該当するサーバー会社(ホスティング事業者)に対し、 利用者情報・アクセスログ・関連記録の開示請求を送付した。

第8〜9回

LINE・AIS——チャット運用側のIPと接続実態。

第10回(本回)

偽取引所のORIGINサーバー——システムの実体インフラ。

第3回との接続

笹田龍成と報告される取引システム構築の裏付け調査へ。

注意: 開示請求は弁護士・正規の法的手続きを通じて行うもの。 個人がサーバー会社に直接脅迫的な連絡をする行為は、二次被害や逆訴のリスクがある。

次回予告 — 第11回:サーバーログから作成者へ

送付した開示請求——その結果が返ってきた。 サーバー会社からの開示が成功し、サーバーログに基づくファイルまで入手できたという。

ファイル内部のメタデータから作成者の特定が進み、 フィンガープリント解析ではMac端末の端末IDまで手がかりが得られた—— 第11回で報告する。

同じ取引所名・同じ画面に心当たりがある方へ

使われたURL、ログイン画面のスクリーンショットなど、オープンチャットで共有を(公開は不要です)。

オープンチャットに参加 取引所一覧 第11回を読む